Archiv der Kategorie: Praxis

Her mit meinen Daten! Informationelle Selbstverteidigung

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Weiterlesen

Luca-App für kirchliche Veranstaltungen?

Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Check-in per QR-Code
(Bildquelle: Photo by Albert Hu on Unsplash)

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Weiterlesen

»Datenschutz ist Überzeugungsarbeit« – die Datenschutzbeauftragte des Bistums Würzburg Eva Gregor im Gespräch

Nach zweieinhalb Jahren hat das Bistum Würzburg sein Projekt »Einführung eines KDG-konformen Datenschutzmanagements« Ende Januar abgeschlossen. Ein Projektteam aus vierzehn Personen unter der Leitung der Datenschutzbeauftragten des Bistums, Eva Maria Gregor, hat das Projekt umgesetzt – über die Herausforderungen, in einer Organisation mit Hunderten von Hauptamtlichen und unzähligen Ehrenamtlichen ein wirksames Datenschutzmanagement nicht nur einzuführen, sondern mit allen Beteiligten an einem Strang zu ziehen, um verantwortungsvoll mit personenbezogenen Daten umzugehen, erzählt die Juristin im Interview mit Artikel 91.

Die Würzburger Datenschutzbeauftragte Eva Maria Gregor vor dem Würzburger Dom

Eva Maria Gregor ist seit Januar 2020 Datenschutzbeauftragte der Diözese Würzburg. Zuvor war die Volljuristin in einer auf Datenschutz spezialisierten Unternehmensberatung tätig.
(Bildquelle: fotogoocom, »Dom zu Würzburg von der Festung aus gesehen«, CC BY 3.0/Kerstin Schmeiser-Weiß (POW)/Montage fxn)

Frage: Frau Gregor, was unterscheidet die Einführung eines Datenschutzmanagements in einem Bistum von ähnlichen Projekten in Firmen oder Behörden?

Eva Maria Gregor: Kirche ist etwas ganz eigenes. Wir haben ganz andere Strukturen, ganz andere Kommunikationswege, auch die Zusammenarbeit mit Ehrenamtlichen gibt es sonst nicht in Unternehmen. Das macht ein solches Projekt in der Kirche einerseits schwieriger, weil man Dinge an ganz unterschiedlichen Stellen positionieren muss, damit sie ankommen, andererseits kann es aber auch einfacher sein, weil man einfacher an die Menschen herankommt und sie mitnehmen kann.

Weiterlesen

Ändere-dein-Passwort-Tag? Besser nicht!

Heute ist Ändere-dein-Passwort-Tag! Das heißt aber noch lange nicht, dass regelmäßiger Passwortwechsel eine gute Idee ist: Wer sich regelmäßig neue Passworte merken muss, wird einfachere, leichter zu erratende wählen. Der GAU dabei ist der vierteljährlich erzwungene Windows-Passwort-Wechsel, mit dem IT-Abteilungen IT-Sicherheit vorgaukeln. Ergebnis: An das Passwort wird alle drei Monate eine neue Zahl angehängt. Sicherheitsgewinn: keiner.

Ein stilisiertes Passwort-Eingabe-Feld
Bildquelle: Christiaan Colen (Flickr), „Computer login“, CC BY-SA 2.0.

Gegen akute Angriffe nützt ein regelmäßiger Passwortwechsel auch nichts: Wenn ein Passwort kompromittiert ist, dann wird das sofort genutzt – und nicht erst nach dem jährlichen Passwortwechsel. Dennoch ist der jährliche Passwort-Tag eine gute Gelegenheit, sich Gedanken über den eigenen Umgang mit Passworten zu machen.

Weiterlesen

Signal, Threema, Telegram: WhatsApp-Alternativen für die Kirche?

Die Frage nach Messenger-Diensten gehört zu den Dauerbrennern im kirchlichen Datenschutz – meist ziemlich enggeführt auf die Frage: Darf ich WhatsApp benutzen? Die jüngsten (und nach Protesten aufgeschobenen) Änderungen im Umgang mit Daten zur engeren Verknüpfung mit Facebook haben nun zum ersten Mal seit langem eine deutlich spürbare Bewegung weg von WhatsApp erzeugt: Signal, Threema und Telegram boomen, Signal brach zeitweise unter der Last neuer Nutzer*innen sogar zusammen.

Doch wie sieht’s bei den Alternativen mit dem Datenschutz aus – und was ist mit kirchlichem Datenschutz vereinbar? Hier unterscheiden sich die drei Dienste deutlich.

Die Logos von Signal, Telegram und Threema (v.l.n.r.)
Weiterlesen

Was das Brexit-Abkommen für den kirchlichen Datenschutz bedeutet

Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Fünf gute Gründe gegen die Einwilligung

Datenschutz ist gleich Einwilligung – das dürfte das hartnäckigste Datenschutz-Missverständnis sein. Das ist keine Überraschung: Selten wird Datenschutz so sichtbar wie bei der Einwilligung in eine Datenverarbeitung; eine Unterschrift, um etwas zu erlauben, ist intuitiv und ohne größere Rechtskenntnis verständlich – und wer als Verantwortliche*r eine Unterschrift einholt, hat das gute Gefühl, sich um den Datenschutz gekümmert zu haben.

Das Problem: Meistens sind Einwilligungen gar nicht nötig, oft schaffen sie neue Probleme, und manchmal sorgen sie sogar für erhebliche Rechtsunsicherheit – und unfair sind sie gelegentlich auch noch. Auch wenn die Einwilligung weit vorne bei den Rechtsgrundlagen steht – eigentlich sollte sie viel eher die letzte Auffangmöglichkeit sein, wenn keine andere Rechtfertigung für eine Datenverarbeitung greift – warum das so ist und wie es besser geht, zeigt dieser Artikel.

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen

Ticketsysteme für Gottesdienste – und der Datenschutz?

Rückverfolgbarkeit von Gottesdienst-Teilnehmenden ist für die Infektionskettenverfolgung immer noch ein wichtiges Thema – die Lösungen dafür sind vielfältig und realisieren ganz unterschiedliche Datenschutzniveaus: Von der Eintragung in eine fortlaufende, offen einsehbare Liste (ganz schlecht) bis zum Einwurf von individuellen Karten mit Kontaktdaten in geschlossene Behältnisse (sehr gut) ist alles dabei – und auch elektronische Varianten mit Ticketsystemen und Voranmeldungen sind im Einsatz.

Die Silhouette einer Kirche auf einer Collage von Eintrittskarten
Montage: Manfred Heyde (Wikimedia Commons), CC BY-SA 3.0; Frankie Luis Garcia (Unsplash)

So praktisch das ist: Datenschutzrechtlich ist die Umsetzung anspruchsvoll – erst recht, wenn eine Gemeinde ein besonderes Serviceniveau durch die Reservierung von Dauerplätzen oder eine vereinfachte Anmeldung mit hinterlegten Daten anbieten will. Um solche Systeme einigermaßen datenschutzkonform zu betreiben, braucht es einige Überlegungen.

Weiterlesen

Kirchenbücher und Datenschutz: Regionalgeschichte, Genealogie und Stammbaumforschung

Kirchenbücher sind eine wertvolle Quelle für die Regionalgeschichte und genealogische Forschungen: Taufregister, die teils Jahrhunderte zurückgehen, sind oft die besten und vollständigsten Dokumentationen über ganze Landstriche. Dürfen sie aber auch einfach so genutzt werden – oder schiebt dem der Datenschutz einen Riegel vor?

Die gute Nachricht: Oft spielt Datenschutz gar keine Rolle – wenn die Menschen, auf die sich die Daten beziehen, nicht mehr leben. Zwar steht es nirgends explizit in der DSGVO, dem KDG und dem DSG-EKD, dass die Datenschutzgesetze nicht für Verstorbene gelten. Erwägungsgrund 27 der DSGVO stellt aber unmissverständlich klar: »Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.« Dennoch gibt es einige Regeln für die Nutzung.

Weiterlesen